fprobe參數 -e

原創 cnxhsy 2020-05-11 19:52

網絡流量分析利器-可視化網絡-netflow【1】-基礎原理
網絡流量分析利器-可視化網絡-netflow【2】-Cisco NetFlow 工作原理介紹及配置
網絡流量分析利器-可視化網絡-netflow【3】-netflow版本5和版本9區別
網絡流量分析利器-可視化網絡-netflow【4】-接收器nfdump簡介
網絡流量分析利器-可視化網絡-netflow【5】-linux下數據採集器fprobe
網絡流量分析利器-可視化網絡-netflow【6】-生產網流量監控架構設計
fprobe參數 -e
fprobe參數 -n -k

-e

-e <seconds>
  Active flow lifetime (active timer). [default=300]

默認fprobe緩存300秒信息,如果使用sftp進行傳輸,ip和port都不改變的情況下,fprobe會彙總這個數據,直到300秒或者本次傳輸結束再把統計好的數據發送到接收器(nfdump)中。雖然對統計流量沒什麼影響,但是不能實時瞭解到流量。我們這裏取一分鐘爲單位時間。

測試結果:

當e設置爲50秒時

首次見到第一時間間隔大於50秒

[root@gs nfdump_test_liuliang]# nfdump -R nfcapd.201811291418:nfcapd.201811291455   | grep 10.136.76.254:50786
2018-11-29 14:19:02.676 INVALID  Ignore TCP  10.136.76.254:50786 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   57.6 M0
2018-11-29 14:19:02.676 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:50786  0.0.0.0:0 ->  0.0.0.0:01.2 M0
2018-11-29 14:19:54.001 INVALID  Ignore TCP  10.136.76.254:50786 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   63.7 M0
2018-11-29 14:19:54.000 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:50786  0.0.0.0:0 ->  0.0.0.0:01.3 M0
2018-11-29 14:20:49.079 INVALID  Ignore TCP  10.136.76.254:50786 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   63.8 M0
2018-11-29 14:20:49.079 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:50786  0.0.0.0:0 ->  0.0.0.0:01.3 M0
2018-11-29 14:21:44.157 INVALID  Ignore TCP  10.136.76.254:50786 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   63.5 M0
......
......
......
2018-11-29 14:38:14.154 INVALID  Ignore TCP  10.136.76.254:50786 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   63.5 M0
2018-11-29 14:38:14.154 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:50786  0.0.0.0:0 ->  0.0.0.0:01.2 M0
2018-11-29 14:39:09.001 INVALID  Ignore TCP  10.136.76.254:50786 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   63.8 M0
2018-11-29 14:39:09.001 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:50786  0.0.0.0:0 ->  0.0.0.0:01.2 M0
2018-11-29 14:40:04.061 INVALID  Ignore TCP  10.136.76.254:50786 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   63.8 M0
2018-11-29 14:40:04.061 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:50786  0.0.0.0:0 ->  0.0.0.0:01.3 M0
2018-11-29 14:40:59.143 INVALID  Ignore TCP  10.136.76.254:50786 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   63.7 M0
2018-11-29 14:40:59.143 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:50786  0.0.0.0:0 ->  0.0.0.0:01.2 M0
2018-11-29 14:41:54.000 INVALID  Ignore TCP  10.136.76.254:50786 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   63.6 M0
2018-11-29 14:41:54.000 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:50786  0.0.0.0:0 ->  0.0.0.0:01.2 M0
2018-11-29 14:42:49.059 INVALID  Ignore TCP  10.136.76.254:50786 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   63.8 M0

e設置爲60s

首次見到第一時間間隔大於60s

[root@gs nfdump_test_liuliang]# nfdump -R nfcapd.201811291338:nfcapd.201811291359 | grep 10.136.76.254:49914
2018-11-29 13:39:18.817 INVALID  Ignore TCP  10.136.76.254:49914 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0  163.7 M0
2018-11-29 13:39:18.816 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:49914  0.0.0.0:0 ->  0.0.0.0:03.3 M0
2018-11-29 13:40:23.132 INVALID  Ignore TCP  10.136.76.254:49914 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0  170.6 M0
2018-11-29 13:40:23.132 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:49914  0.0.0.0:0 ->  0.0.0.0:03.5 M0
2018-11-29 13:41:28.001 INVALID  Ignore TCP  10.136.76.254:49914 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0  171.1 M0
2018-11-29 13:41:28.001 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:49914  0.0.0.0:0 ->  0.0.0.0:03.4 M0
2018-11-29 13:42:33.001 INVALID  Ignore TCP  10.136.76.254:49914 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0  170.4 M0
2018-11-29 13:42:33.000 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:49914  0.0.0.0:0 ->  0.0.0.0:03.3 M0
2018-11-29 13:43:38.057 INVALID  Ignore TCP  10.136.76.254:49914 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0  170.9 M0
2018-11-29 13:43:38.057 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:49914  0.0.0.0:0 ->  0.0.0.0:03.4 M0
2018-11-29 13:44:43.167 INVALID  Ignore TCP  10.136.76.254:49914 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0  170.4 M0
2018-11-29 13:44:43.167 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:49914  0.0.0.0:0 ->  0.0.0.0:03.4 M0
2018-11-29 13:45:48.043 INVALID  Ignore TCP  10.136.76.254:49914 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0  170.9 M0
2018-11-29 13:45:48.043 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:49914  0.0.0.0:0 ->  0.0.0.0:03.3 M0
2018-11-29 13:46:53.137 INVALID  Ignore TCP   10.201.81.72:22->10.136.76.254:49914  0.0.0.0:0 ->  0.0.0.0:01.2 M0
2018-11-29 13:46:53.137 INVALID  Ignore TCP  10.136.76.254:49914 -> 10.201.81.72:22 0.0.0.0:0 ->  0.0.0.0:0   64.2 M0
[root@gs-server-4325 nfdump_test_liuliang]#

無法準確設定爲60s

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

使用python腳本解析netflow抓包數據到csv

JosenChina 2020-05-14 13:21:59

fprobe參數 -n -k

cnxhsy 2020-05-11 19:52:55

網絡流量分析利器-可視化網絡-netflow【4】-接收器nfdump簡介

cnxhsy 2020-03-10 14:50:45

網絡流量分析利器-可視化網絡-netflow【3】-netflow版本5和版本9區別

cnxhsy 2020-03-04 14:49:24

網絡流量分析利器-可視化網絡-netflow【2】-Cisco NetFlow 工作原理介紹及配置

cnxhsy 2020-03-02 14:49:06

OpenNMS 利用 Sentinel處理Netflow(流量流向分析)

yinbangmin 2019-11-22 15:22:45

OpenNMS 利用 Sentinel處理Netflow(流量流向分析)

yinbangmin 2019-11-22 15:22:45

OpenNMS 利用 Sentinel處理Netflow(流量流向分析)

yinbangmin 2019-11-22 15:22:45

netflow網絡流量管理

Grodd 2019-02-27 12:58:40

使用python腳本解析netflow抓包數據到csv

JosenChina 2020-05-14 13:21:59

fprobe參數 -n -k

cnxhsy 2020-05-11 19:52:55

網絡流量分析利器-可視化網絡-netflow【4】-接收器nfdump簡介

cnxhsy 2020-03-10 14:50:45

網絡流量分析利器-可視化網絡-netflow【3】-netflow版本5和版本9區別

cnxhsy 2020-03-04 14:49:24

網絡流量分析利器-可視化網絡-netflow【2】-Cisco NetFlow 工作原理介紹及配置

cnxhsy 2020-03-02 14:49:06

常見異常流量及蠕蟲案例

jack237 2018-09-03 17:55:35